Les cookies peuvent-ils être définis via HTTP à l'aide du protocole HTTPS?Lecture des cookies via HTTPS configurés à l'aide de HTTP
48
A
Répondre
79
Les cookies configurés avec le mot-clé "Secure" seront uniquement envoyés par le navigateur lors de la connexion par un moyen sécurisé (HTTPS). En dehors de cela, il n'y a pas de distinction - si "sécurisé" est absent, le cookie peut être envoyé via une connexion non sécurisée. En d'autres termes, les cookies dont vous souhaitez protéger le contenu doivent utiliser le mot clé sécurisé et vous ne devez les envoyer du serveur au navigateur que lorsque l'utilisateur se connecte via HTTPS.
- HTTP: Cookie avec "Secure" sera retourné uniquement sur HTTPS connexions (inutile de faire, voir la note ci-dessous)
- HTTPS: Cookie avec "Secure" sera être renvoyé uniquement sur HTTPS connexions
- HTTP: Cookie w ithout "Secure" sera retourné sur HTTP ou HTTPS connexions
- HTTPS: Cookie sans "Secure" sera retourné sur HTTP ou HTTPS connexions (pourrait fuir des informations sécurisées)
Référence: RFC 2109 Voir 4.2.2 (page 4), 4. 3.1
Note: Il n'est plus possible de définir des cookies "sécurisés" sur non sécurisés (par ex. HTTP) origines sur Firefox et Chrome après avoir implémenté le Strict Secure Cookies specification.
Questions connexes
- 1. Cookies Google Chrome - HTTP & HTTPS
- 2. HTTPS Post demande via PHP et Cookies
- 3. Cookie via HTTP et HTTPS en PHP
- 4. Authentification HTTPS et cookies via Java
- 5. de http à https
- 6. Rediriger HTTPS vers HTTP via .htaccess
- 7. htaccess (https à http)
- 8. Définition de cookies sécurisés lorsque HTTPS (pour un site HTTPS/HTTP mixte) avec JRun/ColdFusion
- 9. passer mon application de http à https
- 10. Migration des paramètres de l'application Web configurés via IIS
- 11. Variables de session et cookies disparaissant dans IE lors du passage de https à http page
- 12. SEO Question - HTTP par rapport à HTTPS?
- 13. Appelez le service Web via HTTP sur la page HTTPS
- 14. ISAPI Url Rewrite - de http à https
- 15. transfert de http à https asp.net C#
- 16. http request ... cookies
- 17. Mécaniser soumettre le formulaire de connexion de http à https
- 18. cURL: Comment savoir si mes cookies sont correctement configurés?
- 19. mixte site: http/https
- 20. Gestion des cookies HTTP sur l'iPhone
- 21. Lecture des cookies du navigateur ... jQuery
- 22. accéder à pdf via l'URL https
- 23. Protocoles HTTP et HTTPS
- 24. magento https/http redirection
- 25. conversion http https
- 26. HTTP à HTTPS en utilisant mod_rewrite
- 27. Lecture de chaînes UTF8 à partir d'un serveur via http à l'aide de MIDP
- 28. http directe à https sur certaines pages?
- 29. Cookies http et images incorporées
- 30. Passage de HTTP à HTTPS dans une application Flex
Bonne info ... y a-t-il une spécification ou une référence quelque part qui possède cette information? –
Good ol 'RFC2109 http://www.w3.org/Protocols/rfc2109/rfc2109 Notez que "HTTPS" n'est pas mentionné, cela reste non spécifié ici. – richq
Merci, ajouté dans votre réponse, j'espère que cela ne vous dérange pas :) –